Derechos de autor reservados - Prohibida su reproducción
|
|
FICHA DE ANÁLISIS No. 265
IDENTIFICACIÓN DE LA SENTENCIA
| Tribunal de origen | Corte Constitucional | Identificación de la sentencia | T-729/02 | Ponente | EDUARDO MONTEALEGRE LYNETT |
| Tipo de acción o recurso | Revisión de tutela | Tipo de decisión | Concede | ||
| Norma demanda | No aplica. | ||||
| Hechos relevantes | Desde el año de 2001, el Departamento Administrativo de Catastro del Distrito Capital, ha dispuesto en el Internet una página virtual que incorpora una base de datos sobre la información catastral de Bogotá. Mediante la digitación del número del documento de identificación de cualquiera persona, es posible obtener información básica (dirección, zona de conservación, vigencia de la formación, tipo de propiedad, estrato, área de terreno, área de construcción), acerca de uno (y siempre el mismo) de los bienes inmuebles registrados en la base de datos bajo dicho número. Así mismo, mediante la digitación de al menos cuatro datos de cinco (dirección del predio, matrícula inmobiliaria, código homologado de información predial, cédula catastral y documento de identidad), es posible obtener información detallada del predio, tanto jurídica (números de escrituras públicas, notaría, propietario, porcentaje de copropiedad etc.), como económica (valor del metro cuadrado del terreno, valor del metro cuadrado construido, monto de los últimos cinco avalúos, vigencia de los avalúos, etc.). Igualmente, la Superintendencia Nacional de Salud ha dispuesto en el Internet una página virtual que incorpora una base de datos con información relativa a la afiliación al régimen de seguridad social en salud, con la cual, mediante la digitación del número del documento de identificación de cualquier persona, es posible acceder a información relativa al nombre completo del afiliado, la fecha de afiliación, los meses en mora y las personas beneficiarias del afiliado, entre otras. En virtud de estos hechos, una persona presentó acción de tutela contra las dos entidades responsables de las publicaciones, bajo el siguiente argumento: la disposición y la facilidad en el acceso a tal información, en las circunstancias actuales de orden público (delincuencia común y grupos armados al margen de la ley), además de violar su derecho a la intimidad, pone en riesgo sus derechos y los de su familia a la vida, la integridad personal, la propiedad y la libertad, por lo cual solicita se suspenda de manera inmediata la acción perturbadora de sus derechos. | ||||
| Clase de interpretación | Interpretación de la Constitución | Norma aplicable | Constitución Política, artículos 15, 74 | ||
| Precedentes a Considerar | No aplica | Decisiones posteriores a considerar | No aplica | ||
| Tema | Habeas Data | ||||
| Subtema | Principios de la administración de datos personales | ||||
¿Puede la Superintendencia Nacional de Salud, publicar por internet la base de datos sobre los afiliados al sistema integral de seguridad social en Salud, en la cual, sólo digitando el número de cédula se puede conocer la condición de afiliado o no de una persona, la condición de beneficiarios de ciertas personas, la EPS a la cual se encuentra afiliado, si está o no en mora, la fecha de afiliación, las posibles modificaciones en la afiliación, entre otras?
No, la publicación de dicha información desconoce el principio de habeas data al vulnerar varios principios de la administración de datos personales, a saber:
1. El principio de libertad: los datos personales sólo pueden ser registrados y divulgados con el consentimiento libre, previo y expreso del titular, de tal forma que se encuentra prohibida la obtención y divulgación de los mismos de manera ilícita (ya sea sin la previa autorización del titular o en ausencia de mandato legal o judicial).
2. El principio de finalidad: los datos, además de procurar un objetivo constitucionalmente protegido, deben conservar el propósito por el cual fueron suministrados u obtenidos, el cual está determinado generalmente por los ámbitos específicos en los que dicha operación se realiza y que en este caso es el propio de las relaciones privadas entre el titular de los datos y las entidades de la seguridad social.
3. Principio de la circulación restringida: por ser información semi-privada, está llamada a circular exclusivamente dentro de las entidades que conforman el sistema integral de seguridad social en salud.
4. El principio de individualidad: las administradoras deben mantener separadamente las bases de datos que se encuentren bajo su administración, de tal forma que queda prohibida la conducta dirigida a facilitar cruce de datos a partir de la acumulación de informaciones provenientes de diferentes bases de datos.
Lo anterior no obsta para que la Superintendencia Nacional de Salud pueda adelantar la actividad de administración de la base de datos, siempre y cuando la misma se desarrolle en el ámbito propio del sistema integral de seguridad social en salud, de tal forma que la base de datos pueda ser conocida por las personas autorizadas para ello, en concordancia con las finalidades de las entidades promotoras de salud, las instituciones prestadoras, las entidades de control, los usuarios y demás personas que integran el régimen de seguridad social de salud.
Publicación de la base de datos sobre los afiliados al sistema integral de seguridad social en Salud
“(…) En este aspecto, la Sala considera que la información disponible tras la digitación del número de identificación, al estar referida a datos personales del actor que tienen la virtud de revelar aspectos de su órbita privada (su condición de afiliado o no, la condición de beneficiarios de ciertas personas, la EPS a la cual se encuentra afiliado, si está o no en mora, la fecha de afiliación, las posibles modificaciones en la afiliación, etc.), se encuentra sometida a los principios de la administración de datos personales, en los términos de esta sentencia. Según el principio de finalidad, los datos, además de procurar un objetivo constitucionalmente protegido, deben conservar el propósito por el cual fueron suministrados u obtenidos, el cual está determinado generalmente por los ámbitos específicos en los que dicha operación se realiza y que en este caso es el propio de las relaciones privadas entre el titular de los datos y las entidades de la seguridad social. Este principio, ligado al de la circulación restringida, indica que efectivamente la información personal del señor Carlos Antonio Ruiz Gómez, por ser información semi-privada, está llamada a circular exclusivamente dentro de las entidades que conforman el sistema integral de seguridad social en salud. En este sentido, la Sala reconoce que a pesar de existir un interés público en la información contenida en esta base de datos, el cual está mediado por el derecho a la información de las entidades que incorporan el sistema integral de seguridad social en salud (fines de control en los pagos, de cobertura, de volumen de beneficiarios y demás utilidades de tipo estadístico amparadas en la ley), del mismo no se desprende la posibilidad de conocimiento indiscriminado de la información, situación que se facilita por su disponibilidad y libertad de acceso gracias a la Internet. Considera entonces la Corte que, con la publicación de la base de datos sobre los afiliados al sistema integral de seguridad social en Salud, la Superintendencia Nacional de Salud vulnera el derecho fundamental a la autodeterminación informática del señor Carlos Antonio Ruiz Gómez. En efecto, toda vez que este tipo de datos personales está catalogado como información semi-privada, es decir que su acceso se encuentra restringido, la posibilidad de su conocimiento por parte de terceros totalmente ajenos al ámbito propio en el cual se obtuvo dicha información, a partir del sencillo requisito de digitar su número de identificación, desconoce los principios constitucionales de libertad, finalidad, circulación restringida e individualidad propios de la administración de datos personales. Por lo anterior, resulta procedente conceder la tutela invocada y ordenar a la respectiva entidad que haga cesar la conducta vulneratoria de su derecho, en el sentido de permitir que cualquier persona tenga acceso a información personal sobre el actor. Lo anterior no obsta para que la Superintendencia Nacional de Salud pueda adelantar la actividad de administración de la referida base de datos, siempre y cuando la misma se desarrolle en el ámbito propio del sistema integral de seguridad social en salud, de tal forma que la base de datos pueda ser conocida por las personas autorizadas para ello, en concordancia con las finalidades de las entidades promotoras de salud, las instituciones prestadoras, las entidades de control, los usuarios y demás personas que integran el régimen de seguridad social de salud. (…)”
Primero. Revocar la sentencia proferida por la Sala Laboral del Tribunal Superior de Distrito Judicial de Bogotá, y en su lugar Conceder la tutela al derecho a la autodeterminación informática vulnerado por el Departamento Administrativo de Catastro de Bogotá y por la Superintendencia Nacional en Salud, por la publicación de sendas bases de datos en páginas de la internet. En consecuencia, se les ordena eliminar cualquiera posibilidad de acceso indiscriminado, mediante la digitación del número de identificación, a los datos personales del ciudadano Carlos Antonio Ruiz Gómez, en los términos de esta sentencia.
Segundo. Exhortar al Procurador General de la Nación para que en cumplimiento de sus deberes constitucionales, consagrados en los artículos 277 numeral 2o, y 278 numeral 3o de la Constitución, promueva la presentación de un proyecto de ley estatutaria con el fin de dotar a los ciudadanos colombianos de mecanismos suficientes para la protección de los derechos fundamentales a la autodeterminación informática, habeas data, intimidad, libertad e información, entre otros.
Tercero. Exhortar al Defensor del Pueblo para que en cumplimiento de sus deberes constitucionales consagrados en el artículo 282 numeral 6o de la Constitución, promueva la presentación de un proyecto de ley estatutaria con el fin de dotar a los ciudadanos colombianos de mecanismos suficientes para la protección de los derechos fundamentales a la autodeterminación informática, habeas data, intimidad, libertad e información, entre otros.
Cuarto. Exhortar al Congreso de la República para que en la medida de sus posibilidades tramite y apruebe el respectivo proyecto de ley estatutaria sobre las condiciones de ejercicio, principios, y mecanismos judiciales y administrativos de protección de los derechos fundamentales a la autodeterminación informática, habeas data, intimidad, libertad e información, entre otros.
SALVAMENTO O ACLARACIÓN DE VOTO.
Ninguno.
Principios de la administración de datos personales
“(…) Para la Sala, reiterando la Jurisprudencia de la Corte, el proceso de administración de los datos personales se encuentra informado por los principios de libertad, necesidad, veracidad, integridad, incorporación, finalidad, utilidad, circulación restringida, caducidad e individualidad.
Según el principio de libertad, los datos personales sólo pueden ser registrados y divulgados con el consentimiento libre, previo y expreso del titular, de tal forma que se encuentra prohibida la obtención y divulgación de los mismos de manera ilícita (ya sea sin la previa autorización del titular o en ausencia de mandato legal o judicial). En este sentido por ejemplo, se encuentra prohibida su enajenación o cesión por cualquier tipo contractual.
Según el principio de necesidad, los datos personales registrados deben ser los estrictamente necesarios para el cumplimiento de las finalidades perseguidas con la base de datos de que se trate, de tal forma que se encuentra prohibido el registro y divulgación de datos que no guarden estrecha relación con el objetivo de la base de datos.
Según el principio de veracidad, los datos personales deben obedecer a situaciones reales, deben ser ciertos, de tal forma que se encuentra prohibida la administración de datos falsos o erróneos.
Según el principio de integridad, estrechamente ligado al de veracidad, la información que se registre o se divulgue a partir del suministro de datos personales debe ser completa, de tal forma que se encuentra prohibido el registro y divulgación de datos parciales, incompletos o fraccionados. Con todo, salvo casos excepcionales, la integridad no significa que una única base de datos pueda compilar datos que, sin valerse de otras bases de datos, permitan realizar un perfil completo de las personas.
Según el principio de finalidad, tanto el acopio, el procesamiento y la divulgación de los datos personales, debe obedecer a una finalidad constitucionalmente legítima, definida de manera clara, suficiente y previa; de tal forma que queda prohibida la recopilación de datos sin la clara especificación acerca de la finalidad de los mismos, así como el uso o divulgación de datos para una finalidad diferente a la inicialmente prevista.
Según el principio de utilidad, tanto el acopio, el procesamiento y la divulgación de los datos personales, debe cumplir una función determinada, como expresión del ejercicio legítimo del derecho a la administración de los mismos; por ello, está prohibida la divulgación de datos que, al carecer de función, no obedezca a una utilidad clara o determinable.
Según el principio de circulación restringida, estrechamente ligado al de finalidad, la divulgación y circulación de la información está sometida a los límites específicos determinados por el objeto de la base de datos, por la autorización del titular y por el principio de finalidad, de tal forma que queda prohibida la divulgación indiscriminada de los datos personales.
Según el principio de incorporación, cuando de la inclusión de datos personales en determinadas bases, deriven situaciones ventajosas para el titular, la entidad administradora de datos estará en la obligación de incorporarlos, si el titular reúne los requisitos que el orden jurídico exija para tales efectos, de tal forma que queda prohibido negar la incorporación injustificada a la base de datos.
Según el principio de caducidad, la información desfavorable al titular debe ser retirada de las bases de datos siguiendo criterios de razonabilidad y oportunidad, de tal forma que queda prohibida la conservación indefinida de los datos después que han desaparecido las causas que justificaron su acopio y administración.
Según el principio de individualidad, las administradoras deben mantener separadamente las bases de datos que se encuentren bajo su administración, de tal forma que queda prohibida la conducta dirigida a facilitar cruce de datos a partir de la acumulación de informaciones provenientes de diferentes bases de datos.
Además de las obligaciones derivadas de los principios rectores del proceso de administración de bases de datos personales, existen otros que tienen su origen directo en normas constitucionales y legales, sobre todo lo realtivo a la obligación de diligencia en el manejo de los datos personales y la obligación de indemnizar los perjuicios causados por las posibles fallas en el proceso de administración. (…)”
"Normograma - Colpensiones - Administradora Colombiana de Pensiones"
ISSN [2256-1633 (En linea)]
Última actualización: 31 de diciembre de 2020
Fecha de Diario Oficial: Diciembre 13 de 2020 (No. 51527)
Las notas de vigencia, concordancias, notas del editor, forma de presentación y disposición de la compilación están protegidas por las normas sobre derecho de autor. En relación con estos valores jurídicos agregados, se encuentra prohibido por la normativa vigente su aprovechamiento en publicaciones similares y con fines comerciales, incluidas -pero no únicamente- la copia, adaptación, transformación, reproducción, utilización y divulgación masiva, así como todo otro uso prohibido expresamente por la normativa sobre derechos de autor, que sea contrario a la normativa sobre promoción de la competencia o que requiera autorización expresa y escrita de los autores y/o de los titulares de los derechos de autor. En caso de duda o solicitud de autorización puede comunicarse al teléfono 617-0729 en Bogotá, extensión 101. El ingreso a la página supone la aceptación sobre las normas de uso de la información aquí contenida.